Как “социальные инженеры” могут украсть ваши деньги

be Smart
15 минут на прочтение

Социальная инженерия — одна из главных угроз кибербезопасности пользователей во всём мире. Именно её инструменты лежат в основе 97% успешных атак с хищением денег у людей. Для юрлиц это тоже большой фактор риска. К каким уловкам прибегают мошенники? Как им противостоять? Now подготовил конспект секции “Кибербезопасность. Люди”, прошедшей на 16-ом Международном форуме БАНКИТ.

Саша Литвин
Журналист
Они становятся всё изощрённее и оригинальнее.

В начале 2019 года в Беларуси появился новый (для нас) вид мошенничества — вишинг. Жертве звонит человек и представляется сотрудником банка. Входя в доверие, под разными предлогами выманивает данные банковских карт или код из СМС — деньги пропадают со счёта.

Раньше для большего доверия мошенники использовали специальное ПО — оно подменяло телефонный номер: обманутый человек видел на экране входящий звонок  с якобы настоящего номера банка. Сейчас в Беларуси это уже нельзя сделать технически — возможность подмены номеров заблокирована на уровне провайдеров связи.

Вишинг носит “сезонный” характер: после серии атак наступает затишье, а спустя время злоумышленники возвращаются с новыми скриптами разговоров. Например, сейчас мошенники сообщают клиентам банка, что на них якобы оформлен кредит (чаще всего  фигурирует одна и та же сумма — 5000 BYN). Чтобы он не вступил в силу, человек должен предоставить звонящему конфиденциальные данные.

Прикрываясь банком или организацией-посредником, мошенники могут обещать помощь в оформлении онлайн-кредитов людям, которым настоящий банк в займе отказал. В этом случае злоумышленники выманивают сканы или фотографии паспорта, номер мобильного телефона и приходящее на него подтверждение. По этим реквизитам оформляют онлайн-кредиты на максимальную сумму — естественно, выводя деньги себе.
Паспортные данные уже могут быть в руках мошенников (например, купленные в даркнете) — в этом случае для оформления займа им не хватает только кода из СМС. Они получают его от доверчивых граждан под видом сотрудников банка: “тестируем новое оборудование”, “проверка системы безопасности”, “настройка СМС-оповещения”. Жертвами часто становятся пенсионеры — уровень их финансовой грамотности обычно низок.

“Поздравляем, вы выиграли приз от банка N!” — так начиналась еще одна схема обмана. Чтобы получить крупный фиктивный выигрыш, “счастливчику” всего-то нужно было оплатить комиссию — шесть рублей. А для этого — ввести все реквизиты карты (как при обычном онлайн-платеже), к которой и получали доступ злоумышленники.

Жертва может сама обратиться в “банк” — точнее, его копию на стороннем сайте, или в группу в соцсетях. Оформление поддельных страниц максимально приближено к дизайну настоящих ресурсов. Разницу можно заметить по минимальным отличиям в адресе сайта, или по отсутствии верификации группы в соцсетях.

Реальные аккаунты Альфы в Twitter, Facebook, Vk, Viber, Telegram и Instagram.
Преступники могут строить свою махинацию на обмане уже обманутых людей. Весной 2019 года в России задержали группу телефонных мошенников. Они завладели базой данных пенсионеров, купивших “чудо-добавки” и, представляясь прокурором, сообщали о возможности возврата денег. Всё было похоже на правду: звонивший обращался к жертве по имени-отчеству, называл наименование товара и точную сумму потраченных на него денег. Но, для того, чтобы вернуть средства, нужно заплатить НДС / скинуться на подачу коллективного иска и т.п. Обрадованные возможности вернуть потерянное, доверчивые пенсионеры переводили мошенникам деньги. Повторно пострадало более 1500 человек.

А вот скимминг для Беларуси не характерен. Чаще случаи такого воровства данных фиксируют в Украине и России. Мошенники снимают средства с поддельных карт-копий — в основном, в Индии и Индонезии.
Приоритеты злоумышленников изменяются.

Если раньше воры акцентировали усилие на том, чтобы просто украсть деньги, то сейчас их больше интересует информация — базы данных, в том числе и с персональными данными. Конечно, после получения информации воруют и деньги.

Вот основные актуальные каналы доступа к информации и деньгам:

  • хищение с использованием дистанционного банковского обслуживания;
  • подмена платёжных реквизитов и деловой переписки;
  • спам, содержащий вирусное ПО;
  • несанкционированный доступ к информации организации;
  • шифрование коммерческих данных предприятий с последующим выкупом ключа;
  • вымогательство денежных средств.
Узнаваемость. Атака имеет больше шансов на успех, если ведётся от узнаваемого лица.

Правдоподобие. Стиль общения должен соответствовать стилю, принятому в компании. Для этого используют похожие скрипты разговора и фразы вроде “приняли информацию”, “зафиксировали данные”.

Персонификация. Обращение к человеку по имени вызывает доверие.

Манипуляция эмоциями. Есть простые (рефлексы) и сложные (социальные) эмоции. К простым относится страх, любопытство, жадность, желание помочь, благодарность. Страх — одна из самых сильных рефлекторных эмоций, и к ней в первую очередь прибегают мошенники, сообщая о переводах с карты, оформленных кредитах, списаниях.

Срочность. Жертву торопят, чтобы она не могла подумать и принять правильное решение.

Использование уязвимых личностных черт (ответственности, сострадания) и потребностей конкретного человека.
До сих пор каждый седьмой посетитель фишингового сайта вводит данные своей карты. Самый эффективный способ борьбы с мошенниками — информирование людей о принципах их “работы”, финансовое и технологические просвещение.

На программном уровне могут помочь решения, избирательно упрощающие или усложняющие проведение платёжной сессии. Если она подозрительная, то можно усилить защиту, запросить дополнительные данные. А если в сессии нет признаков мошенничества, можно отказаться, например, от дополнительного СМС-подтверждения. Ввести код, набрать капчу — каждое такое лишнее действие снижает конверсию для бизнеса.

Нормальные сайты, принимающие оплату, могут использовать технологии адаптивного предотвращения мошенничества на устройствах пользователей. В момент, когда человек заходит на сайт, в браузере запускается модуль, следящий за поведением устройства. Нет ли удалённого управления? Не подменили ли реквизиты платежа или программный код? Соответствует ли клавиатурный почерк этому пользователю?

По итогу такого скоринга человек, ответственный за контроль проведения платежей, может одобрять или отклонять транзакции.

Вот основные рекомендации:

  • создать политику информационной безопасности.
  • написать регламент реагирования на инциденты;
  • ознакомить сотрудников с перечнем а) сведений, относящихся к коммерческой тайне; б) правонарушений против информационной безопасности;
  • обучить сотрудников правилам цифровой гигиены;
  • систематически менять пароли доступа к электронной почте компании и используемым базам данных;
  • создать подразделение по информационной безопасности (можно также нанять одного специалиста либо отдать работу на аутсорс);
  • ограничить права сетевого и физического доступа к служебной информации и документа;
  • использовать специализированное ПО. Не только антивирусное но и для отражения таргетированных атак, сканирования;
  • делать резервные копии и бэкапы.
При подготовке материала использованы доклады:

  1. Сергея Майсейшина, главного специалиста отдела регулирования на компьютерные угрозы Управления защиты информации Национального банка Республики Беларусь;
  2. Кирилла Вяткина, замначальника Управления “К” МВД РБ;
  3. Сергея Золотухина, менеджера по развитию бизнеса Group IB;
  4. Сергея Волдохина, директора ООО “Антифишинг”;
  5. Ольги Лимоновой, психолога ООО “Антифишинг”.